실제로 소프트웨어 개발 분야의 서비스 제공업체는 GDPR의 4조 Z 8조에 따라 자동으로 프로세서로 간주된다는 일반적 의심을 받고 있음이 정기적으로 나타납니다.
그러나 이것이 실제로 해당되는지 여부는 개별 사례 및 특정 순서와 협력 또는 소프트웨어 제공의 별자리에 따라 다릅니다.
소프트웨어 서비스 공급자는 많은 경우 의심할 여지 없이 프로세서 자격이 있지만 모든 소프트웨어 서비스 공급자가 소프트웨어 개발과 관련하여 자동으로 프로세서가 되는 것은 아닙니다. 여기에서 역할을 하는 측면을 다음 문서에 요약했습니다.
모든 측면이 백서에 명확하게 요약되어 있습니다!
명확성을 제공하고 가장 중요한 사항을 강조합니다!
1차 주문
소프트웨어 서비스 공급자가 프로세서 자격을 갖추었는지 여부는 대체로 컨트롤러가 서비스 공급자에게 주문한 순서에 따라 달라집니다.
주문의 목적이 Art에 따른 개인 데이터 처리를 목표로 하는 경우. 책임자를 대신하여 서비스 제공업체가 GDPR의 4 Z 1을 적용하면 문제가 명확해집니다. 그러나 주문의 핵심이 서비스 제공자가 책임자를 대신하여 개발한 개별 소프트웨어의 제공인 경우 이것만으로는 DSGVO 또는 데이터 보호법에 따른 주문 처리가 정당화되지 않습니다. 따라서 결정적인 요소는 거의 모든 다른 비즈니스 관계에서와 같이 비즈니스 시작 및 후속 계약 이행 과정에서 개인 데이터의 교환이 발생하더라도 서비스 제공자가 책임지는 주문 및 서비스입니다.
예를 들어 주문 생성, 송장 작성 또는 계약 처리를 위해 연락 담당자의 개인 데이터를 단순히 저장하거나 처리하는 것은 주문 처리를 구성하지 않습니다. 이 경우 개인 데이터는 책임자를 대신하여 저장되는 것이 아니라 비즈니스 시작, 주문 실행, Art에 따라 책임자로서의 역할에서 서비스 제공자의 법적 요구 사항 충족을 위해 저장됩니다. DSGVO의 4 Z 7.
이 시점에서 프로세서가 아닌 컨트롤러로서의 서비스 제공자의 권리와 의무가 개인 데이터 보호에 적용됩니다. 그렇지 않으면 Art에 따라 각 비즈니스 관계에 대한 프로세서 계약을 체결해야 합니다. 28 GDPR 명령에 수반되는 개인 데이터 교환만으로 이를 정당화하는 경우.
결론:
따라서 GDPR의 의미 내에서 프로세서는 고객(책임자)의 개인 데이터를 처리하기 위해 서비스가 본질적으로 생성되고 제공되고 따라서 서비스가 특징인 경우에만 비즈니스 파트너입니다. 반면 데이터 처리가 실제 서비스에 대한 “단순한 부작용”이라면 (애자일) 소프트웨어 개발만을 위한 프로세서 관계는 없습니다.
2. 배송 또는 제공
기본적으로 코드 버전 관리(예: Git), 애플리케이션 제공(예: Docker를 통해) 및 다양한 시스템 환경의 오케스트레이션을 포함하는 개발 및 테스트 환경과 관련된 소프트웨어 개발 서비스 제공에 적절한 도구 및 프레임워크가 사용됩니다. (예: 쿠버네티스). 일반적으로 테스트 및 개발 환경에서는 개인 데이터(실제 데이터)가 처리되지 않는 것으로 간주할 수 있습니다. 테스트 및 개발 환경은 소프트웨어 또는 애플리케이션의 개발, 테스트 및 제공에만 사용되므로 개인 데이터가 처리되지 않기 때문입니다.
제공 모델의 경우, 특히 서비스 제공자가 고객의 테스트 및 개발 환경을 사용하는 경우(예: 원격 액세스를 통해), 어느 정도 배제할 수 있는지(예: 적절한 기술적인 방법을 통해) 사례별로 확인해야 합니다. 측정) 서비스 제공자 또는 소프트웨어 개발 파트너가 개인 데이터에 액세스하거나 “통찰”할 수 있습니다. 이러한 활동 중에 개인 데이터에 대한 액세스를 배제할 수 없는 경우 프로세서 관계가 있다는 의견이 지배적입니다.
결론:
개발 및 테스트된 소프트웨어 또는 실행 중인 소프트웨어 증분이 계약자의 테스트 및 개발 환경에서 클라이언트의 다른 테스트 환경으로 자동으로 “배포”되는 경우 서비스 공급자가 고객의 시스템 환경에 대한 추가 액세스 권한이나 암호화되지 않은 익명화된 액세스 권한이 없는 경우 또는 고객의 가명 개인 데이터가 가능한 경우 주문 처리가 되지 않습니다.
이후에도 유지 관리를 인계받지 않고 고객을 위한 개별 소프트웨어 개발의 경우 개인 데이터가 전혀 처리되지 않기 때문에 일반적으로 처리자 관계가 없습니다.
3. 운영 및 유지보수
소프트웨어 개발 파트너가 클라이언트(예: 직원, 고객, 공급업체 등)의 개인 데이터를 포함하는 관리 서비스(애플리케이션 지원) 또는 개발된 솔루션의 운영을 제공하는 경우에는 상황이 다릅니다. 클라이언트에 의해 위탁의. 이 경우 명령의 목적과 내용은 고객(책임자)의 개인 데이터 처리를 목표로 하며 서비스 제공자는 이러한 맥락에서 처리자로서 위임된 운영 서비스에 대한 자격을 갖추어야 합니다.
유지 관리의 맥락에서 서비스 제공자가 예를 들어 원격 액세스를 통해 유지 관리 서비스와 관련하여 고객의 개인 데이터에 대한 통찰력을 얻을 수 있는지 여부를 결정하는 것도 중요합니다. 기술 유지 관리 중에 개인 데이터가 주변에서만 처리되는 경우 처리자 관계가 거부되어야 합니다. 이는 서비스 제공자가 3단계 지원의 일부로 전화 지원 또는 기술 지원을 제공하고 고객의 개인 데이터가 있는 생산 시스템 또는 생산 관련 시스템에 액세스할 수 없는 경우에도 적용됩니다. 여기에서도 명령의 주제와 개인 데이터에 대한 추가적인 접근 가능성이 필수적입니다.
예를 들어 지원 계약 이행을 위한 계약자의 지원 티켓 시스템에서 개인 데이터를 처리하면 일반적으로 서비스 제공자가 책임자 역할을 하므로 그 자체로 주문 처리를 정당화하지는 않습니다.
결론:
소프트웨어 개발 파트너가 클라이언트의 개인 데이터가 포함된 개발된 솔루션 또는 애플리케이션 지원의 운영도 인수하는 경우 서비스 제공자는 이러한 맥락에서 위임된 운영 서비스에 대한 프로세서 자격을 갖습니다. 유지 보수의 경우 서비스 제공자가 유지 보수 서비스와 관련하여 고객의 개인 데이터에 대한 통찰력을 얻을 수 있는지 여부와 관련이 있습니다.